Sårbarheden giver mulighed for DoS angreb på alle versioner udgivet de sidste 18 år og vil i nogle konfigurationer kunne udnyttes til at køre arbitrær kode igennem en memory overflow. Førstnævnte er meget simpelt at udføre, som gør det meget kritisk, sidstnævnte kræver en del ekspertise, men grundet potentialet er det særdeles kritisk.
I kan læse mere om det her: https://cybernews.com/security/nginx-vulnerability-exposes-millions-of-websites/
Edit: Hvis man bruger Debian, så er det endnu ikke patched i stable versioner, I kan følge fremskridt på denne side: https://security-tracker.debian.org/tracker/CVE-2026-42945
… og fordi denne besked måske var lidt for specifik og nørdet til at den ligefrem skal ud til alle brugere på Feddit.dk, så har jeg oprettet !selvhost@feddit.dk til dem der er interesseret i det 😀
Fedt. Dén abonnerer jeg på.
Så vidt jeg lige kan forstå er denne sårbarhed også af den ret teoretiske slags, der kræver nogle ret specifikke omstændigheder for at kunne bruges. Altså, hold altid dine ting patched, men det her er en “det ser jeg på mandag morgen” ting, ikke en “aaaaaaaaahh ild i håret” ting.
For remote code execution delen, så ja. Den er lidt mere teknisk og kræver en specifik konfiguration af NGINX før det kan udnyttes. Men DoS delen har en low barrier of entry og rammer alle versioner af NGINX. Ved DoS er skaden for en selfhoster selvfølgelig væsentlig lavere, men jeg ville personligt ikke løbe risikoen. Ikke nok til at udskyde kaffen om morgenen for privat udstyr men ikke noget jeg ville udskyde flere dage. Der går nok ikke lang tid før vi ser exploits på DoS delen.
NGINX på serveren bag Feddit.dk er ihvertfald opdateret nu :)
